Novinkou ve Windows Vista je BitLocker Drive Encryption, který slouží k šifrování dat uložených na disku. Zabezpečení uživatelskými hesly funguje sice dobře, ale neumí si poradit s tím, když někdy vezme fyzicky disk a připojí ho do jiného počítače, na němž je administrátor. Potom snadno převezme vlastnictví vašich souborů a dostane se tak k citlivým datům. A obranou právě proti tomuto je BitLocker. Real-timově šifruje data při práci s diskem.
Správu šifrování pomocí BitLockeru najdete v Control panel, kde je ve složce Security ikonka s názvem BitLocker. Pro použití šifrování je nutné mít v počítači BIOS, který je TPM kompatibilní. V případě, že tento BIOS nemáte, lze tuto podmínku obejít pomocí USB Flash klíčenky, což si ukážeme později. Nejprve je důležité si vyjasnit pojmy Systémový disk a Bootovací disk.
Systémový disk je ten, na který se přesměruje po POST testu bootování. Jedná se o Aktivní disk, na kterém se zpravidla nachází soubor BOOTMGR a složka BOOT. Naopak bootovací disk je ten, kde se nachází složka WINDOWS. Kroutíte-li nevěřícně hlavou, tak vězte, je to opravdu tak (a to už i ve Windows XP). Systémový disk je ten, ze kterého se bootuje a bootovací disk je ten, kde leží systém. Většinou je i bootovací i systémový disk tentýž, ale nemusí.
Ale zpět k tomu, proč o tom mluvím. Chceme-li zašifrovat bootovací disk, je třeba mít bootovací a systémový disk každý na jiné partition. Je to pro to, aby systém měl možnost načíst minidriver pro BitLocker před zahájením vlastního dešifrování a spouštění. Tohoto můžeme docílit dvěma způsoby – před instalací Windows Vista a nebo po ní. Pro následující vysvětlování si disky popíšeme takto: Systémový disk (tedy ten, ze kterého se bootuje) bude S: a bootovací disk (tedy ten, kde leží systém) bude C:
Chceme-li při instalaci tyto disky rozdělit, zvolíme jazyk a ve chvíli, kdy máme kliknout na ikonku Install Windows, zvolíme vlevo dole System Recovery Option, místo operačního systému dáme Next a následně zvolíme Command Prompt. Následně zadáme následující sekvenci příkazů:
Následně příkazem format zformátujeme obě partition. Potom zavřeme Command Prompt a budeme pokračovat v instalaci na disk C:.
V případě, že chceme rozdělit systémový a bootovací disk na již nainstalovaných Windows, je třeba pravým tlačítkem kliknout na Computer a vybrat Manage. Následně v záložce Storage zvolit Disk Management. Vybereme pravým tlačítkem disk, ze kterého vykousneme část pro systémový disk a vybereme Shrink Volume a zadáme velikost místa 1500 MB. Následně z volného místa vytvoříme Primary Partition, naformátujeme, přiřadíme jí písmenko S: a označíme jako Aktivní. Protože na disku nejsou soubory potřebné pro bootování, je nutné po restartu nabootovat z instalačního CD a provést Recovery Systému (podobně, jako jsme se dostávali při instalaci do Command Promptu).
Pro start systému musí být na disku S: složka BOOT a soubor BOOTMGR. Jejich zkopírování zajistíme například takto:
Nyní máme tedy disk rozdělený tak, jak je potřeba a můžeme se vrhnout na vlastní šifrování pomocí technologie BitLocker. Podporuje-li náš BIOS technologii TPC spustíme v Control Panelu ikonku BitLocker. Zvolíme Turn On BitLocker u našeho systémového disku. Důležité je dobře si uložit Recovery Password, který bude potřeba, kdybychom někdy potřebovali disk vložit do jiného PC například z důvodu úmrtí základní desky či jiné HW komponenty. BitLocker nabízí možnost uložit heslo na USB disk, do složky a nebo vytisknout na tiskárnu. Následně povolíme Run BitLocker System Check a zvolíme restart. Následně proběhne kontrola disku a jeho zašifrování.
Pokud náš BIOS nepodporuje technologii TPM, je možné uložit spouštěcí klíč místo do BIOSu na USB Flash disk. Potom je třeba tento USB disk vždy při startu PC připojit. Abychom mohli tuto variantu využít je třeba spustit Group Policy Object Editor (gpedit.msc) a vybrat větev: Local Computer Policy – Administrative Templates – Windows Components – BitLocker Drive Encryption. V politice s názvem Control Panel Setup: Enable Advanced Option je třeba nastavit Enabled a zvolit Allow BitLocker without a compatibile TPM. Následně je dobré politiku aktualizovat pomocí příkazu gpupdate /force. Následuje zapnutí šifrování podobně, jako jsem již popsal, pouze s tím rozdílem, že na začátku zvolíme Require Startup USB Key at every startup, vložíme USB disk a nahrajeme na něj Startup Key.
Mám-li celý tento článek shrnout, tak již víme, že BitLocker slouží k real-time šifrování dat na disku. Na to, aby šel bootovací disk zašifrovat, nesmí být shodný s diskem systémovým. Na to, aby se dala technologie BitLocker používat, musíme mít BIOS kompatibilní s technologii TPM a v případě, že nemáme, lze to obejít pomocí USB Flash disku, který budeme muset vkládat do počítače při každém spuštění. Závěrem musím připomenout, že máte být při šifrování disku velmi opatrní, abyste o data nepřišli sami třeba díky tomu, že ztratíte Recovery Password. Je třeba si uvědomit, že třeba vadný disk je často možné z části přečíst a tak z něj zachránit alespoň nějaká data, ale pokud je šifrovaný, většinou už z něj nic nedostanete a proto je potřeba zvážit, zda se opravdu šifrování dat vyplatí.
Tak BitLocker umí šifrovat i jiné než systémové partition, ale doposud to neumí přes webové rozhraní a je na to potřeba použít příkazové řádky a příkazu manage-bde.wsf
.
k zakódování disku D:, uložení klíče na flasdisk F: a zobrazení recovery hesla slouží:
Pokud zašifrujete jinou než systémovou partition, bude po restartu nepřístupná. Pro její automatické zpřístupnění použijte:
Toto způsobí, že se dešifrovací klíč uloží na systémovou partition (která samozřejmě musí být zašifrovaná) aautomaticky se použije k dešisfrování datového disku.
V případě, že nechcete automaticky dešifrovat disk, použijte toto:
Pokud chcete zjistit stav šifrování disků, použijete toto:
Chcete-li ke komentáři přidat svou fotku nebo jinou ikonku, postupujte podle návodu.